Usługi w zakresie ochrony danych osobowych (RODO)

Usługi w zakresie ochrony danych osobowych (RODO):

1. Audyt zasad przetwarzania danych osobowych
2. Ustalenie optymalnego w danym podmiocie modelu przetwarzania danych osobowych z uwzględnieniem indywidualnych potrzeb administratora
3. Tworzenie jak i aktualizacjadokumentacji dotyczącej przetwarzania danych osobowych, tym przygotowywanie wzorów klauzul umownych oraz umów niezbędnych do faktycznej realizacji ochrony danych osobowych na potrzeby zasady rozliczalności
4. Bieżące doradztwo w zakresie prawidłowości stosowania przepisów dotyczących ochrony danych osobowych

   Termin RODO ostatnimi czasy, przewija się niemal podczas każdego spotkania, rozmowy zarówno zawodowej jak i prywatnej. Budzi przerażenie, ale czy potrzebnie? To co nieznane, nowe, pozbawione szablonów i wypracowanych procedur zawsze wiąże się z obawą. Faktycznie mamy do czynienia z „nowością”, przede wszystkim w zakresie sankcji narzuconych przez unijnego ustawodawcę. Tymczasem szereg obowiązków, do wypełnienia których niemal każdy prowadzący działalność gospodarczą przygotowuje się, obowiązywał już od dawna – tj. o 1997 r., w oparciu o rodzimą ustawę o ochronie danych osobowych, która niestety przez wielu traktowana była jako swoisty ozdobnik polskiego legislatora.

Dotychczas, ani w prawie polskim, ani w prawie Unii Europejskiej nie było aktu, który nakładałby tak wysokie kary za nieprzestrzeganie tak niejasnych przepisów, praktycznie na wszystkie organizacje. Można się pokusić o stwierdzenie, że RODO jest trudne, inteligentne, surowe, niezrozumiałe, jednak po głębszej analizie, opartej na filarach prywatności, praw jednostki, bezpieczeństwie oraz fundamencie w postaci rozliczalności, ogólne i wysokopoziomowe RODO jawi się po prostu jako wymagające.

Pisząc i mówiąc „RODO” mamy na myśli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Jest to akt prawny przyjęty przez Unię Europejską regulujący zasady ochrony danych osobowych – zastępuje dyrektywę 95/46/WE z 1995 r.

RODO tym się różni od dyrektywy 95/46/WE, że nie będzie implementowane, czyli nie będzie trzeba przepisów RODO przyjąć w polskiej ustawie, jak to się dzieje w przypadku dyrektyw. RODO będzie bezpośrednio obowiązywać, będzie bezpośrednio stosowane i bezpośrednio skuteczne. To oznacza, że z bardzo niewielkimi wyjątkami – całe prawo ochrony danych osobowych znajdziemy bezpośrednio w tekście RODO. Ten tekst można znaleźć w Dzienniku Urzędowym Unii Europejskiej L z 2016 r. nr 119, str. 1.

Od 25.05.2018 r. przedsiębiorcy szukający przepisów dotyczących ochrony danych osobowych przetwarzanych w organizacji muszą sięgnąć w pierwszej kolejności i bezpośrednio do przepisów unijnych, tj. do RODO, a nie jak dotychczas do ustawy z 29.08.1997 r. o ochronie danych osobowych i aktów wykonawczych do niej czy też do nowej ustawy o ochronie danych osobowych.

RODO formalnie weszło w życie już 25.05.2016 r., ale jego bezpośrednie stosowanie (i tym samym egzekwowalność) rozpocznie się dopiero 25.05.2018 r. Nie bez powodu organizacje dostały 2 lata na dostosowanie do wymogów RODO swoich procesów przetwarzania danych osobowych na poziomie organizacyjnym‚ dokumentowym‚ proceduralnym‚ technicznym i świadomościowym.

Przedsiębiorca, który prowadzi działalność w RODO podlega każdy przedsiębiorca, który prowadzi działalność w Unii Europejskiej. Może to być działalność w jakiejkolwiek formie prawnej: spółka, jednoosobowa działalność gospodarcza, czy nawet oddział w Unii Europejskiej przedsiębiorcy mającego siedzibę poza Unią. Nie ma znaczenia narodowość osób, których dane osobowe są przetwarzane. RODO znajdzie zastosowanie nawet wtedy, gdy podmioty spoza Unii Europejskiej oferują swoje towary i usług osobom przebywający w Unii.

RODO nie znajduje zastosowania do działalności osobistej lub domowej. To oznacza, że osoba fizyczna prowadząca działalność gospodarczą musi stosować RODO do danych osobowych swoich klientów czy pracowników, ale nie stosuje RODO do danych przetwarzanych w celach czysto prywatnych.

RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych. Przetwarzanie danych powinno więc zostać ograniczone do takich danych, bez których nie można osiągnąć celu przetwarzania danych.

RODO odchodzi od praktyki polegającej na wskazywaniu w przepisach prawa konkretnych środków zabezpieczenia danych osobowych, jakie mają zostać wdrożone przez administratora lub podmiot przetwarzający. Zamiast tego, RODO wprowadza tzw. podejście oparte na ryzyku.

Istota podejścia opartego na ryzyku sprowadza się do tego, że każdy podmiot przetwarzający dane osobowe powinien samodzielnie określić, jakie konkretne środki zabezpieczenia danych należy wdrożyć.

Przedmiotowa analiza ryzyka powinna stanowić punkt wyjścia do przygotowania tak szeroko komentowanej wśród osób mając wdrożyć unijne rozporządzenie polityki bezpieczeństwa, będącej swojego rodzaju konstytucją ochrony danych osobowych w każdym przedsiębiorstwie. Nigdy odwrotnie. Prawidłowe jej przeprowadzenia umożliwia w dalszej kolejności stworzenie rejestru czynności przetwarzania danych osobowych, będącego swoistym rozliczeniem z RODO. Obowiązek prowadzenia

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora danych oraz podmiotu przetwarzającego dane.

Administrator danych odnotowuje w rejestrze:

imię i nazwisko lub nazwę oraz dane kontaktowe administratora oraz wszelkich współadministratorów, a także gdy ma to zastosowanie – przedstawiciela administratora oraz IOD,
cele przetwarzania,
opis kategorii osób, których dane dotyczą, oraz kategorii danych osobowych,
kategorie odbiorców, którym dane osobowe zostały lub zostaną ujawnione,
gdy ma to zastosowanie, przekazania danych osobowych do państwa trzeciego,
jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych,
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Tymczasem Podmiot przetwarzający odnotowuje w rejestrze:

imię i nazwisko lub nazwę oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora, w imieniu którego działa podmiot przetwarzający,
kategorie przetwarzań dokonywanych w imieniu każdego z administratorów,
gdy ma to zastosowanie – przekazania danych osobowych do państwa trzeciego,
jeżeli jest to możliwe, ogólny opis technicznych i organizacyjnych środków bezpieczeństwa danych.

Taki rejestr może być prowadzony w formie pisemnej bądź w postaci elektronicznej.

Rejestr czynności nie musi być prowadzony przez przedsiębiorców zatrudniających mniej niż 250 osób, chyba że:

a) przetwarzanie może naruszać prawa lub wolności osób, których dane dotyczą,

b) przetwarzanie obejmuje szczególne kategorie danych lub dane dotyczące wyroków skazujących,

c) przetwarzanie nie ma charakteru sporadycznego

Z uwagi jednak na zasadę rozliczalności oraz domniemanie winy, obowiązujące w zakresie ferowanej regulacji zaleca się, aby każdy podmiot zobowiązany do wdrożenia RODO, prowadził przedmiotowy rejestr, mogący stanowić załącznik do polityki bezpieczeństwa.

Kiedy możemy przetwarzać dane osobowe?

Kiedy osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów
Kiedy przetwarzanie jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą, przed zawarciem umowy
Kiedy przetwarzanie jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą lub innej osoby fizycznej
Kiedy przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej administratorowi
Kiedy przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesóww realizowanych przez administratora lub przez stronę trzecią, z wyjątkiem sytuacji, w których nadrzędny charakter wobec tych interesów∑ mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych, w szczególności gdy osoba, której dane dotyczą jest dzieckiem.

Warunki wyrażenia zgody

Jeżeli przetwarzanie odbywa się na podstawie zgody, administrator musi być w stanie wykazać, że osoba, które dane dotyczą, wyraziła zgodę na przetwarzanie swoich danych osobowych. Jeżeli osoba, której dane dotyczą, wyraża zgodę w pisemnym oświadczeniu, które dotyczy także innych kwestii, zapytanie o zgodę musi zostać przedstawione w sposób pozwalający wyraźnie odróżnić je od pozostałych kwestii w zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem. Część takiego oświadczenia osoby, której dane dotyczą, stanowiąca naruszenie RODO nie jest wiążąca. Osoba, której dane dotyczą, ma prawo, w dowolnym momencie wycofać zgodę. Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Osoba, której dane dotyczą, jest o tym informowana, zanim wyrazi zgodę. Wycofanie zgody musi być równie łatwe jak jej wyrażenie. Oceniając, czy zgodę wyrażono dobrowolnie, w jak największym stopniu uwzględnia si czy między innymi od zgody na przetwarzanie danych nie jest uzależnione wykonanie umowy, w tym świadczenie usługi, jeżeli przetwarzanie danych osobowych nie jest niezbędne do wykonania tej umowy.

Obowiązek prowadzenia rejestru czynności przetwarzania danych osobowych dotyczy administratora.

Klika podstawowych RODOwych pojęć:

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej („osobie, której dane dotyczą”); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.

Przetwarzanie – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie‚ organizowanie‚ porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.

Administrator – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych; jeżeli cele i sposoby takiego przetwarzania są określone w prawie Unii lub w prawie państwa członkowskiego, to również w prawie Unii lub w prawie państwa członkowskiego może zostać wyznaczony administrator lub mogą zostać określone konkretne kryteria jego wyznaczania. Administrator samodzielnie (lub wspólnie z innymi) określa cele i sposoby przetwarzania danych. Administratorem może być osoba fizyczna lub prawna działająca w dowolnej formie prawnej, władza publiczna, agencja lub inny organ.

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot‚ który przetwarza dane osobowe w imieniu administratora. Podmiot przetwarzający to nazwa roli‚ w jakiej każda organizacja może wystąpić, gdy zostaną jej powierzone przez inną organizację dane osobowe.

Inspektor Ochrony Danych Osobowych – (IOD) to funkcja zdefiniowana w art. 37–39 RODO. Sporo organizacji musi powołać inspektora ochrony danych. Zadaniem inspektora ochrony danych jest dbanie o ochronę danych w organizacji. Inspektor ochrony danych ma silne gwarancje niezależności. Co ważne‚ wbrew powszechnemu mylnemu przeświadczeniu to nie inspektor ochrony danych odpowiada za zgodność organizacji z RODO i ochronę danych w ogólności. Ta odpowiedzialność spoczywa na kierownictwie jednostki i nie może być przekazana inspektorowi.

Zgoda – dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, przyzwala na przetwarzanie dotyczących jej danych osobowych.

Anonimizacja – to nieodwracalne przetworzenie danych osobowych w taki sposób, by nie można ich było przypisać konkretnej osobie. Anonimizacja ma na celu uniemożliwienie identyfikacji osób‚ których dane zostały poddane temu procesowi.

Pseudonimizacja – oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem, że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Proces pseudonimizacji ma być odwracalny. Pseudonimizacja to zastępowanie identyfikatorów (np. imię, nazwisko, PESEL, numer telefonu, adres e‍-mail) pseudonimami‚ czyli unikalnymi dla danej osoby kodami‚ liczbami lub obrazami (w tym zakresie możemy mówić o pewnej dowolności), które nie mają żadnego rzeczywistego powiązania z daną osobą.